Il recente rapporto Automating Society redatto dall’organizzazione Algorithm Watch documenta diverse iniziative concernenti l’impiego di sistemi automatizzati per la gestione dei confini, sia da parte degli Stati membri che delle istituzioni dell’Unione europea. Alcune di queste misure, in particolare quelle adottate dall’Unione europea per la creazione di una maxi database per la raccolta dei dati – anche biometrici – dei cittadini non comunitari in entrata nell’UE, potrebbero avere ripercussioni significative, sia per i cittadini coinvolti nel trattamento che a livello geopolitico.
Il Rapporto Automating Society Report (disponibile qui; in questo Osservatorio v. il post introduttivo di B. Carotti, L’Algorithm Watch: un rapporto) testimonia numerose iniziative – intraprese sia da parte degli Stati membri che a livello dell’Unione europea – concernenti l’impiego di sistemi di intelligenza artificiale per la gestione dei confini.
Per quanto riguarda gli Stati membri, vanno menzionati – anche per le connesse implicazioni socio-politiche – i sistemi ROBORDER e TRESSPASS.
ROBORDER (acronimo per “Robots for Border Surveillance”) è un progetto di ricerca avviato nel maggio del 2017 a cui partecipano diverse autorità pubbliche nazionali, tra cui il corpo di polizia ungherese, il Ministero per la difesa greco e l’Autorità di Sistema portuale Mar Tirreno Settentrionale. Obiettivo del progetto è di assicurare una sorveglianza automatizzata delle zone perimetrali (frontiere, confini o aree delimitate) utilizzando una flotta di droni – compresi i veicoli aerei, acquatici, subacquei e terrestri – in grado di funzionare sia in modalità stand-alone che in sciami. Sebbene il sistema sia stato sperimentato negli ultimi anni in diverse “aree calde”, tra cui l’isola greca di Kos, a ridosso delle coste turche, e lungo il confine serbo-ungherese, i risultati del progetto verranno resi pubblici solo nei prossimi mesi.
Nasce, invece, interamente in Grecia il progetto TRESSPASS (acronimo per “robusT Risk basEd Screening and alert System for PASSengers and luggage”, che ha come obiettivo quello di rendere più rapidi ed efficaci i controlli dei passeggeri e dei bagagli. TRESSPASS si basa su un approccio risk-based, consistente nell’adottare controlli diversificati a seconda dalla percentuale di rischio associata al singolo viaggiatore, calcolata da un algoritmo sulla base di una certa modellizzazione del rischio. Per le persone e le merci che non siano considerate (i parametri che il progetto utilizza per la definizione della percentuale di rischio non sono noti) una minaccia significativa, i controlli invasivi ai valichi di frontiera dovrebbero essere limitati, consentendo minori interruzioni del flusso di persone e merci, a una maggiore libertà per i passeggeri e a una minore quantità di dati personali aggiuntivi.
Da quanto emerge dal rapporto Automating Society Report, i progetti più innovativi – e controversi – sono stati sviluppati proprio dall’Unione europea: nel prossimo biennio l’UE prevede, infatti, l’implementazione di ben tre progetti (EES, ETIAS e ECRIS-TCN) implicanti l’uso di dispositivi di IA in funzione di monitoraggio e controllo dei confini esterni dell’Unione.
Quanto a EES (Exit/Entry System), che ha la propria base normativa nel Regolamento (UE) 2017/226, tale sistema monitorerà gli ingressi dalle aree extra Schengen registrando, oltre ai dati identificativi del soggetto ed il relativo titolo di viaggio, anche dati biometrici quali l’immagine del volto e le impronte digitali.
Entrerà, invece, a regime entro la fine del 2022 il sistema ETIAS (European Travel Information and Authorisation System). Istituito nel 2019, tale nuovo sistema centralizzato raccoglierà le informazioni relative ai cittadini di paesi terzi che non necessitano di visto per entrare nello spazio Schengen, allo scopo di identificare qualsiasi possibile rischio legato alla sicurezza e alla migrazione irregolare. Le informazioni presentate in ciascuna domanda saranno trattate automaticamente interrogando le banche dati dell’UE e le pertinenti banche dati di Interpol per determinare se vi siano motivi per rifiutare l’autorizzazione ai viaggi
Terzo “pilastro” del sistema europeo di gestione automatizzata delle frontiere è rappresentato da ECRIS-TCN (European Criminal Records Information System), un sistema centralizzato che integrerà l’attuale database di dati di rilevanza penale (ECRIS) con informazioni sui cittadini non europei condannati in uno Stato dell’Unione.
A loro volta i dati raccolti dai tre database – oltre a quelli raccolti dall’Eurodac, Schengen Information System, Visa Information System (VIS) – confluiranno in un maxi database, il Common Identity Repository (CIR), approvato dal Parlamento europeo nel 2019.
Il CIR collegherà dunque i sistemi esistenti – rendendoli interoperabili – al dichiarato fine di identificare con più facilità criminali, migranti irregolari ovvero persone sospettate di terrorismo o ricercate. Con una capacità fino a 350 milioni di file, la banca dati centralizzata dei dati di identità dei cittadini non comunitari conterrà sia dati biografici che biometrici, a disposizione delle autorità pubbliche per il perseguimento delle rispettive finalità.
Sebbene la Commissione europea abbia precisato che l’interoperabilità non cambierà le regole e le limitazioni per l’accesso ai dati e che i diritti fondamentali “thus remain protected”, non è escluso che la raccolta massiva di dati personali da parte dell’Ue – combinata con la centralizzazione in un’unica banca dati – possa avere ripercussioni, anche rilevanti, sui cittadini coinvolti nel trattamento.
Come è stato evidenziato, la maxi banca dati potrebbe rivelarsi inutilmente invasiva, essendo tutt’altro che scontato che l’interoperabilità tra i sistemi apporti un effettivo beneficio in termini di sicurezza. Non è inoltre da escludere, è stato anche osservato, che il sistema possa generare un elevato numero di falsi collegamenti e, di conseguenza, un trattamento sproporzionato ed ingiustificato dei dati personali di quei viaggiatori erroneamente segnalati come profili a rischio.
Del resto, i rischi legati alla interconnessione fra database pubblici (in questo caso si tratterebbe di una vera e propria confluenza) sono ben presenti allo stesso legislatore europeo che, non a caso, al considerando n. 31 del GDPR ha raccomandato che “Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all’interconnessione di archivi”.
Sebbene la lotta contro la criminalità e le minacce alla sicurezza pubblica sia un obiettivo di preminente interesse generale dell’Unione, tale da giustificare anche interferenze con i diritti fondamentali, resta necessario trovare un equilibrio ragionevole tra l’esigenza che le autorità di pubblica sicurezza siano nelle condizioni di svolgere efficacemente le proprie funzioni ed il diritto dei soggetti interessati a non subire un trattamento sproporzionato, o addirittura illegittimo, dei propri dati personali.
D’altro canto, non possono neppure essere trascurate le ripercussioni sugli equilibri geopolitici esterni allo spazio Schengen che misure di tale stregua sono suscettibili di provocare, specie laddove – e gli esempi sono purtroppo assai frequenti (se ne è parlato nell’Osservatorio qui e qui) – i procedimenti automatizzati perpetrino pregiudizi e discriminazioni sistematiche ai danni di minoranze etniche e sociali.
La buona riuscita delle procedure di gestione automatizzata delle frontiere dipenderà anche dalla capacità sviluppare sistemi robusti e affidabili ricercando, al contempo, un ragionevole equilibrio tra l’esigenza di tutela della sicurezza e trattamento massivo dei dati personali.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.